今天在病毒診所值班的是陳濤醫生,為了掌握最新的病毒木馬信息,陳濤醫生常常利用沒有病人的時間在網上浏覽。這時從門外沖進來一位滿頭大汗的病人,病人稱最近一段時間,常常發現系統鼠標不停地自己移動。
自己通過對任務管理器的查看,發現一個遠程控制軟件VNC的服務端進程,結束這個進程後沒有多久的時間,鼠標又開始自動移動,同時該進程又出現了。
小知識:什麼是VNC
VNC(virtual network computing虛擬網絡計算),是一種遠程控制的技術,簡單來說,就是將遠端的圖形桌面,顯示到本地終端的一種技術。
聽完病人的講述,陳濤醫生分析後判斷,如果只是單一的遠程控制軟件VNC進行控制,絕不會出現這種情況,那麼極有可能就是中了最近流行的“混血”木馬Bandook。
混血木馬Bandook
Bandook是一款國外的超級木馬程序,因為這個木馬程序是用C++和Delphi兩種程序語言編寫的,而在黎巴嫩語中Bandook又是混血兒的意思,因此該木馬就被作者命名為Bandook。
該木馬程序除了編寫語言采用了混合方式,在控制方式方面也采用了混合方式,既可以利用木馬程序本身進行遠程控制操作,又可以利用木馬程序上傳控制插件,而改由控制軟件WINVNC進行控制操作。
VNC只是木馬替身
陳濤醫生首先查看了系統的任務管理器,果然在進程列表中發現了一個名為winvnc.exe的進程(圖1)。TW.WinGWIt.COm然後陳濤醫生又打開了系統服務管理器,查看其中是否擁有WINVNC的啟動服務,因為WINVNC在NT格式的Windows系統中,都是利用系統服務來啟動服務端程序的。結果經過一番認真的檢查,並沒有發現WINVNC的啟動服務,這就說明該服務端程序有其他的啟動方式。
IE進程才是木馬真身
看來想通過WINVNC服務端內容,來獲取惡意程序的信息是不可能的了。於是陳濤醫生馬上改變策略,運行“木馬輔助查找器”並選擇其中的“進程監控”標簽,通過認真的查找果然在進程列表中發現了一個IE浏覽器的進程。
由於IE浏覽器是惡意程序常常利用的進程,所以陳濤醫生決定對其進行一番嚴格的檢測。選中進程列表中的IE浏覽器進程,接著在下面的模塊列表中很快發現多個既沒有“公司”說明,也沒有“描述”信息的可疑模塊文件,但是通過這些模塊文件一時又無法判斷出這是什麼惡意程序(圖2)。
現在選擇“木馬輔助查找器”中的“啟動項管理”標簽,從中一下子發現兩個類似可疑的啟動項(圖3)。說它類似是因為啟動鍵名稱和程序路徑的信息都是一樣的,說它可疑是因為該文件同時利用注冊表的多個啟動項進行啟動,並且從啟動名稱“Bandook”中我們得到一個重要的信息。
Bandook是一款國外的木馬程序,木馬作者為了減少服務端程序的體積,於是通過很多的功能插件來實現更多的功能,其中包括遠程桌面、遠程視頻、公共插件、密碼插件、RAR插件、VNC插件等。
圖2中我們看到的那些可疑模塊,就是Bandook木馬安裝的功能插件。另外VNC服務端也是木馬程序的插件之一,但是VNC插件並不是以DLL文件的形式存在,所以我們在任務管理器中可以看到它的進程。這些插件都沒有自己的啟動項,因為它們都是隨著服務端程序的啟動而啟動的。
清除混血木馬
首先斷開互聯網的連接,在“木馬輔助查找器”的“進程監控”標簽中,找到VNC服務端進程和IE浏覽器的進程,選中它們以後點擊窗口的“終止選中進程”按鈕結束這些進程;接著選擇“啟動項管理”標簽中的“注冊表啟動項”選項。在列表中找到和木馬相關的兩個啟動項後,單擊“刪除選定”按鈕即可將木馬的啟動項刪除。
進入Windows系統的System32目錄中,選中和服務端文件相關的文件和插件後進行刪除,這樣即可完成服務端的全部清除工作。如果Windows系統提示文件正在使用的話,可以重新啟動系統以後再進行文件的刪除操作。
From:http://tw.wingwit.com/Article/Network/201309/439.html